2025版網絡信息安全意識培訓D

I

R

E

C

T

O

R

Y目錄為什么需要安全意識培訓？10個案例看黑客如何入侵8個常見誤解和10個場景的安全防護建議010203為什么需要安全意識培訓？網絡安全事件“大爆發”時代信息技術與產業的空前繁榮VS危害信息安全的事件連年走高數字化轉型·疫情影響·互聯網產業發達各行各業各人都離不開網絡空間數據泄露爆炸式增長·勒索病毒時刻在“索財”·境外組織發起APT攻擊網絡信息帶來的暴利讓黑客組織趨之若鶩教育：希臘遭遇嚴重“網絡襲擊”中學考試題庫網站一度癱瘓互聯網：Atomic

Wallet遭黑客攻擊超3500萬美元的加密貨幣被盜航空：全球最大的兩家航空公司美國航空和西南航空發生數據泄露物流：以色列物流業遭遇大規模網絡攻擊媒體：2億Twitter用戶的數據被公開，僅需2美元即可下載制造：電腦硬件巨頭微星遭網絡攻擊后被勒索四百萬美元食品：都樂食品遭勒索攻擊：北美生產工廠被迫全部關閉人往往是最薄弱的環節，一些由于“人的安全意識”導致的安全事件發生時間：2019年6月10日導致原因：點擊惡意郵件事件簡介：2019年6月10日，美國佛羅里達州萊克城（LakeCity）遭到災難性的勒索軟件攻擊，各項市政工作已停擺兩周。市政緊急會議投票決定支付價值將近50萬美元的贖金。盡管該城市的IT人員在發現攻擊后的十分鐘內將受影響的系統斷開連接，但是除了在獨立網絡中運行的警察和消防部分，該市政的幾乎所有計算機系統都感染了勒索軟件。此前，佛羅里達州Riviera

City也遭黑客攻擊，支付了60萬美元贖金。兩起襲擊有一個共同點，一名政府工作人員點擊了一封電子郵件中的惡意附件，使得勒索軟件傳播至整個網絡。一旦惡意軟件擴散，計算機就會被鎖定，并彈出一個提示，指示受害者通過電子郵件聯系攻擊，然后用比特幣支付索要贖金。在支付贖金之前，市政府官員無法進入他們的系統。美國佛羅里達州遭勒索攻擊，政府工作停擺兩周谷歌瀏覽器造成大規模用戶安全信息泄露發生時間：2020年6月

導致原因：惡意軟件攻擊事件簡介：6月19日，AwakeSecurity的研究人員表示，他們在谷歌瀏覽器的擴展程序中發現了一個間諜軟件，并且已經被下載了3200多萬次。如果有普通用戶在家用電腦上使用擴展程序中帶有惡意軟件的瀏覽器，它會聯系多個網站，然后傳輸用戶信息，造成信息泄露。個人：信息、財產被盜2021年春節前后，山東有不法分子冒用城商行、農商行等中小銀行機構之名，向銀行用戶發送“釣魚”短信進行詐騙，由于釣魚網站高度近似官方網站，有用戶不小心輸入個人信息及賬號密碼后，卡內的錢就會被不法分子全部盜走。企業：被勒索、數據泄露2018年7月20日11時12分，某公司某員工的郵箱xx@，受到發件人為xx@163.com的釣魚郵件攻擊，釣魚郵件通知公司受害用戶附件xlsx為合同訂單，誘騙受害者打開處理，進而獲取受害用戶郵箱的真實密碼，登錄受害者郵箱，竊取機密信息，進一步開展滲透攻擊。國家：網絡戰利用新冠肺炎疫情相關題材投遞的攻擊案例，攻擊者利用肺炎疫情相關題材作為誘餌文檔，對抗擊疫情的醫療工作領域發動APT攻擊。一旦中招，攻擊者即可遠程下載惡意文件，控制受害人的電腦，如入侵了關鍵賬號，更有可能造成國家級數據泄露的后果。名詞解析APT攻擊:高級持續性滲透攻擊(Advanced

Persistent

Threat)魚叉式釣魚攻擊:攻擊者通過發送帶有攻擊性的郵件，一旦受害者點開攻擊郵件中的附件等，就會給受害者的電腦造成一定的影響。網絡空間安全已成為第五大主權空間未來的網絡空間安全將會是多線作戰，我們面對的是與網絡犯罪、網絡恐怖主義、網絡戰爭、網絡意識形態競爭的持久抗爭。網絡空間（cyberspace）是與陸、海、空、天并列的第五大主權空間，網絡空間安全已經成為全球性的挑戰。網絡安全影響個人安全2007年美國國家安全局實施棱鏡監聽計劃。該計劃對象包括任何與國外人士通信的美國

公民。美國國家安全局可以接觸到這類人的個人網絡社交數據網絡安全影響政治安全2016年美國大選期間，俄黑客盜取并公布了希拉里競選團隊的機密郵件，泄露不利于希拉里競選的信息，直接影響美國大選結果網絡安全影響經濟安全2017年5月，WannaCry勒索蠕蟲利用系統漏洞永恒之藍發起攻擊，30個小時內就使

100多個國家的大量機構陷入癱瘓國際網絡安全形勢敵對勢力的破壞、黑客攻擊、惡意軟件侵擾、利用計算機犯罪、隱私泄露等，對信息安全構成了極大威脅。當前網絡安全已成為事關國家安全的重大問題和世界各國面臨的共同挑戰。國家不斷加強對網絡安全的立法和監管2016.11中華人民共和國全國人民代表大會高票通過《網絡安全法》2017.05國家互聯網信息辦公室

發布《網絡產品和服務安全審查辦法（試行）》2017.07各行業開展業務系統網絡安全檢查2021.09《中華人民共和國數據安全法》正式實施2016.12經中央網絡安全和信息化領導小組批準，國家互聯網信息辦公室發布《國家網絡空間安全戰略》2017.06《網絡安全法》正式生效2019.05《信息安全技術網絡安全等級保護基本要求》等三大核心標準發布2021.11《個人信息保護法》正式實施網絡安全法規政策提升網絡安全意識，成為每位公民的責任與義務！10個案例看黑客如何入侵社會工程學：利用人的弱點實現攻擊人是網絡安全中最薄弱的環節。無論是在攻防演練還是真正的黑客入侵中，社工、釣魚相比傳統滲透方法都是成本更低，收益效果更好的攻擊手段。收集信息構建場景偽裝身份獲取信任獲取權限虛榮心好奇

同情心慣性思維相信熟人害怕權威

愛占小便宜……0102030405黑客攻擊的套路網絡釣魚近源攻擊入侵內網前通過互聯網釣魚入侵內網后假冒員工身份釣魚外部郵箱釣魚使用木馬文件冒充生態合作文檔等在線客服溝通 使用木馬文件冒充需求或問題文檔QQ、微信、脈脈聊天

HR招聘，使用木馬文件冒充簡歷文檔公開聯系方式 添加內部員工微信，獲取員工信息外部社區發帖 求助帖，上傳木馬文件作為附件內部社區發帖 編造吸人眼球標題，騙取大量員工訪問惡意鏈接找IT、運維人員 在線求助，使用木馬冒充截圖文檔發放通知 節日、加薪福利，使用木馬冒充表格附件IM辦公、內網郵箱 冒充管理員騙取賬號密碼、驗證碼文件共享、網盤 共享木馬文件職場投遞誘餌U盤 引誘員工使用并打開U盤中的文件職場主機設備信息泄露 查看設備上貼有的密碼標簽會議室有線網口接入內網 通過有線接入內網職場Wi-Fi密碼暴破 通過無線Wi-Fi接入內網操作未鎖屏電腦 安裝木馬拿下目標后繼續尋找高價值目標拿下高價值目標后繼續滲透核心內網攻擊場景網絡釣魚網絡釣魚（Phishing）是攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行網絡詐騙活動。詐騙者

通將自己偽裝成網絡銀行、在線零售商等可信的品牌，騙取用戶的私人信息、資料，如銀行卡賬戶、身份證號等內容。網絡釣魚類型郵件釣魚調薪通知、密碼過期修改、個稅退款…不輕信！二維碼釣魚掃碼抽獎、掃碼領禮品、掃碼心理測試…不輕信！社交釣魚招聘求職、天降桃花、賣慘求助…不輕信！網頁釣魚flash需更新、瀏覽器需升級…不輕信！公共Wi-Fi釣魚公共場所免費Wi-Fi，不亂連！1、郵件釣魚案例網絡釣魚（Phishing）攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息數據來源于《釣魚網》2、社交釣魚案例1.應聘偽裝成求職者向HR建立聯系，言簡意賅，黑客通過學習求職者的溝通話術，保持求職者

的作風，非常容易多次獲得目標對象的信任。社交釣魚案例2.求職黑客偽裝成求職者與目標建立求職關系，發送簡歷或多次發送其他身份的簡歷。社交釣魚案例3.招商、銷售黑客偽裝成甲方向目標的銷售或項目經理發送需求。3、二維碼釣魚案例傳統短信驗證和新興二維碼掃描方式背后均面臨安全風險。近年來年通過手機木馬支持支付驗證碼短信，竊取用戶賬戶信息的犯罪活動將至呈高發態勢。黑客利用手機木馬攔截驗證碼短信，并進一步套取用戶網絡支付賬戶和密碼，使得用戶的個人財產面臨巨大損失。4、網頁釣魚案例內部辦公平臺在企業當中發揮著重要的作用，日常的工作基本上都會需要使用到，而一旦例如CMS，OA平臺淪陷了，黑客就會在這類WEB平臺上植入一段JS代碼，這類代碼表現出來會是如下：1、彈窗提示Flash需要更新2、登錄反復提示失敗3、瀏覽器提示訪問錯誤或提示瀏覽器錯誤需要下載更換瀏覽器5、Wi-Fi陷阱案例黑客通過在公共場所散布免費Wi-Fi,等待獵物上鉤。待獵物上鉤后，使用工具對通信進行抓包，獲取登陸網站鏈接以及用戶名密碼等信息。6、入侵后，假冒員工身份釣魚員工一般不會去考慮聊天的這個人的的確確就是這個人，尤其當是上下級關系的時候，這種附庸關系更加不會讓受害者去思考這些危險的安全隱患點。企業內部溝通的軟件它可以掌握整個企業的組織架構，人員名單，通訊錄，這類資料對于社工專家來說就相當于拿到了攻擊這個目標的地圖，社工者可以根據組織架構、通訊錄，通過構建精妙的場景來完成精準的突破。內部郵件釣魚近源攻擊近源攻擊即黑客通過各種方式（如抱著一箱零食請保安幫忙開門、偽裝快遞員、訪問者、或直接從地下車庫進入等等）進入到攻擊目標單位，通過無接觸式（不跟人打交道）或接觸式（直接與人打交道）的方法，把病毒拷貝到受害終端上。8個常見誤解和10個場景的安全防護建議企業安全事件起因分析由黑客入侵或其他外部原因造成由于內部員工的疏忽或有意泄露造成的來自內部員工的不規范操作20-30%70-80%78%規避信息安全常見誤區誤解1：安全是技術人員的事情錯！太多著名互聯網公司因為客服，市場人員

的安全意識疏忽，導致嚴重安全事故。安全意識必須是全員的，每一個接入公司網絡的員工，都應該具有基本的安全素質。誤解3：勤打補丁，永遠第一時間更新最新版本，就不會出問題錯！了解0day后就不會有這個想法了。誤解2：用正版的軟件就安全正版軟件廠商也會出現bug、漏洞等情況，甚至會受到0day攻擊。誤解4：安全就是嚴防死守，封堵一切入侵途徑錯！封堵入侵途徑是必要的，但是并不充分，

要有意識的考慮，被侵入會怎樣？爆庫就是典型的例子，在一個真正安全的系統里，數據庫被爆仍然要保障密碼的安全。要做到多層防御。網絡信息安全8個常見誤解規避信息安全常見誤區誤解5：請了最牛的黑客，就不怕人入侵了錯！入侵只需一點突破，防護需要面面俱到。最牛的黑客來做運維，一樣會有缺陷。誤解7：買了最貴的防火墻，就不怕入侵了錯！防火墻擋不住0day，當然，這話有點絕對，應該說，防火墻能不能擋住0day，基本上靠運氣。此外，很多防火墻自己也會出洞。誤解6：哪個無聊的黑客老盯著我？！錯！黑客沒盯著你，路過打醬油的時候干掉你的。誤解8：我的網站沒啥價值，黑客不會盯著我的錯！黑客是不會盯著你，但是也會在路過打醬油的時候干掉你。黑客有工具撒網的，不是針對你，但是很不幸你在網內。網絡信息安全常見誤解企業安全事件起因分析外因是條件內因才是根本10大安全防范建議010203040506070809101.賬戶密碼安全如果有初始密碼，應盡快修改密碼長度不少于8個字符不要使用單一的字符類型，例如只用小寫字母，或只用數字用戶名與密碼不要使用相同字符常見的弱口令盡量避免設置為密碼自己、家人、朋友、親戚、寵物的名字避免設置為密碼生日、結婚紀念日、電話號碼等個人信息避免設置為密碼工作中用到的專業術語、職業特征避免設置為密碼密碼字典中不應包含單詞，或者在單詞中插入其他字符所有系統盡可能使用不同的密碼防止網頁自動記住用戶名與密碼上網注冊帳號時，用戶名密碼不要與公司內部用戶名密碼相同或有關聯在通過密碼管理軟件保管好密碼的同時，密碼管理軟件應設置高強度安全措施密碼應定期更換1.賬戶密碼安全如果有初始密碼，應盡快修改密碼長度不少于8個字符不要使用單一的字符類型，例如只用小寫字母，或只用數字用戶名與密碼不要使用相同字符常見的弱口令盡量避免設置為密碼自己、家人、朋友、親戚、寵物的名字避免設置為密碼生日、結婚紀念日、電話號碼等個人信息避免設置為密碼工作中用到的專業術語、職業特征避免設置為密碼密碼字典中不應包含單詞，或者在單詞中插入其他字符所有系統盡可能使用不同的密碼防止網頁自動記住用戶名與密碼上網注冊帳號時，用戶名密碼不要與公司內部用戶名密碼相同或有關聯在通過密碼管理軟件保管好密碼的同時，密碼管理軟件應設置高強度安全措施密碼應定期更換賬號安全建議密碼：Quit@smoking4ever解釋：永遠戒煙密碼：1dcypsz1/2jss1/2j#f00解釋：一道殘陽鋪水中，半江瑟瑟半江紅口令短語字符替換單詞誤拼鍵盤模式2.病毒風險防范安裝病毒防護程序并及時更新病毒特征庫下載電子郵件附件時注意文件名的后綴，陌生發件人附件不要打開網絡下載的文件需要驗證文件數字簽名有效性，并用殺毒軟件手動掃描文件使用移動存儲介質時，進行查殺病毒后打開安裝不明來源的軟件時，手動查殺病毒瀏覽網頁時，若發現電腦工作異常，建議斷開網絡并進行全盤殺毒2.病毒風險防范安裝病毒防護程序并及時更新病毒特征庫下載電子郵件附件時注意文件名的后綴，陌生發件人附件不要打開網絡下載的文件需要驗證文件數字簽名有效性，并用殺毒軟件手動掃描文件使用移動存儲介質時，進行查殺病毒后打開安裝不明來源的軟件時，手動查殺病毒瀏覽網頁時，若發現電腦工作異常，建議斷開網絡并進行全盤殺毒3.上網安全注意使用知名的安全瀏覽器收藏經常訪問的網站，不要輕易點擊別人傳給你的網址對超低價、超低折扣、中獎等誘惑要提高警惕避免訪問色情、賭博、反動等非法網站重要文件通過網絡、郵件等方式傳輸時進行加密處理通過社交網站的安全與隱私設置功能，隱藏不必要的敏感信息展示避免將工作信息、文件上傳至互聯網存儲空間，如網盤、云共享文件夾等在社交網站謹慎發布個人信息根據自己對網站的需求進行注冊,不要盲目填寫信息上網的DNS應設置為運營商指定的或內部DNS服務的IP地址，避免使用不安全的DNS導致被劫持風險3.上網安全注意使用知名的安全瀏覽器收藏經常訪問的網站，不要輕易點擊別人傳給你的網址對超低價、超低折扣、中獎等誘惑要提高警惕避免訪問色情、賭博、反動等非法網站重要文件通過網絡、郵件等方式傳輸時進行加密處理通過社交網站的安全與隱私設置功能，隱藏不必要的敏感信息展示避免將工作信息、文件上傳至互聯網存儲空間，如網盤、云共享文件夾等在社交網站謹慎發布個人信息根據自己對網站的需求進行注冊,不要盲目填寫信息上網的DNS應設置為運營商指定的或內部DNS服務的IP地址，避免使用不安全的DNS導致被劫持風險4.網上交易安全所訪問的網址與官方地址進行比對，確認準確性避免通過公用計算機使用網上交易系統不在網吧等多人共用的電腦上進行金融業務操作不通過搜索引擎上的網址或不明網站的鏈接進入交易在網絡交易前，對交易網站和交易對方的資質全面了解可通過查詢網站備案信息等方式核實網站資質真偽應注意查看交易網站是否為HTTPS協議，保證數據傳輸中不被監聽篡改在訪問涉及資金交易類網站時，盡量使用官方網站提供的虛擬鍵盤輸入登錄和交易密碼遇到填寫個人詳細信息可獲得優惠券，更要謹慎填寫注意保護個人隱私，使用個人的銀行賬戶、密碼和證件號碼等敏感信息時要慎重使用手機支付服務前，應按要求安裝支付環境的安全防范程序無論以何種理由要求你把資金打入陌生人賬戶、安全賬戶的行為都是詐騙犯罪，切勿上當受騙當收到與個人信息和金錢相關（如中獎、集資等）的郵件時要提高警惕5.電子郵件安全不打開、回復可疑郵件、垃圾郵件、不明來源郵件收發公司業務的郵件時，應使用公司企業郵箱處理，私人郵件應使用個人郵箱處理員工應對自己的郵箱用戶名及密碼安全負責，不得將其借與他人若發現郵箱存在任何安全漏洞的情況，應及時通知公司郵件系統管理人員應警惕郵件的內容、網址鏈接、圖片等機關工作人員工作郵件建議使用政府自建郵箱，嚴禁使用境外郵箱為電子郵箱設置高強度密碼，并設置每次登錄時必須進行用戶名密碼驗證開啟防病毒軟件實時監控，檢測收發的電子郵件是否帶有病毒定期檢查郵件自動轉發功能是否關閉不轉發來歷不明的電子郵件及附件收到涉及敏感信息郵件時，要對郵件內容和發件人反復確認，盡量進行線下溝通6.主機電腦安全操作系統應及時更新最新安全補丁禁止開啟無權限的文件共享服務，使用更安全的文件共享方式針對中間件、數據庫、平臺組件等程序進行安全補丁升級關閉辦公電腦的遠程訪問定期備份重要數據關閉系統中不需要的服務計算機系統更換操作人員時，交接重要資料的同時，更改該系統的密碼及時清理回收站員工離開座位時應設置電腦為退出狀態或鎖屏狀態，建議設置自動鎖屏7.辦公環境安全禁止隨意放置或丟棄含有敏感信息的紙質文件，廢棄文件需用碎紙機粉碎廢棄或待消磁介質轉交他人時應經管理部門消磁處理離開座位時，應將貴重物品、含有敏感信息的資料鎖入柜中應將復印或打印的資料及時取走廢棄的光盤、U盤、電腦等要消磁或徹底破壞禁止在便簽紙上留存用戶名、密碼等信息UKey不使用時應及時拔出并妥善保管辦公中重要內容電話找到安全安靜的地方接聽，避免信息泄露U盤、移動硬